本文介绍了DNS反射放大攻击的原理,这是一种利用DNS的脆弱性进行分布式拒绝服务的攻击方式。攻击者通过篡改DNS请求源地址并请求ANY类型记录,导致大量放大后的响应数据包冲击受害者,造成网络带宽和服务资源耗尽。防护策略包括在公共递归DNS和权威DNS层面设置过滤规则,限制并发请求,并关闭不必要的递归功能,以减少攻击的可能性。
一、前言
DNS诞生于上世纪80年代,就像很多新的技术出现只是为了解决一些简单的问题一样,其诞生之初也仅仅是为了解决网络上主机数量爆炸性的增长、IP地址不便于记忆的问题。其发明者可能连自己也没有想到,在几十年后的今天,互联网会发展到如此规模,DNS的应用更是如同水和空气一般无处不在。
DNS诞生的年代,互联网的规模和应用场景远不如今天复杂,更没有现如今如此严峻的网络安全环境,因此其设计之初并没有过多的考虑安全因素,基于无连接UDP协议的报文交互、尽力而为的服务方式成为了现如今互联网世界里的一个安全薄弱的环节,攻击成本低、攻击收益高的特性更是成为了黑客们的重点目标。
针对或利用DNS发动的网络威胁事件、攻击手段日益增多,根据攻击方式的特征大致可分为资源耗尽型、欺骗性、渗透性等攻击类型,本文将选取DNS资源耗尽型攻击类中的“反射放大攻击”作为主题,浅析其攻击实现原理和防范的思路。
二、攻击原理解析
DNS反射放大攻击是一种典型的分布式拒绝服务攻击,是众多反射放大攻击中的一种,攻击者利用了DNS的多种脆弱特性,发动互联网上的僵尸网络“肉鸡”(受黑客远程控制的电脑等),通过将DNS报文的源地址修改为受攻击者地址,同时面向大量互联网公共递归请求海量的全记录类型域名查询,造成被攻击者的网络带宽、服务器性能资源的耗尽。详细步骤如下图:
最低0.47元/天 解锁文章
扫一扫
1592
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
